Supporto volontario e collaborativo per Joomla!® in italiano

FAQ Joomla! 3

FAQ

Come configurare il sito Joomla in HTTPS ?

Contattare il proprio fornitore dello spazio web (hosting) e chiedere informazioni sul servizio per ottenere il certificato digitale SSL per il proprio sito. Esistono soluzioni gratuite o certificati a pagamento (annuo) di differenti tipologie e prezzi. Solitamente per la corretta configurazione del certificato è necessario che il sito abbia il proprio numero IP dedicato e non più il classico IP condiviso, ma in alcuni casi è possibile usare il certificato anche con IP condiviso. L'attivazione e configurazione del certificato sul server può essere eseguita direttamente dall'hosting oppure in alcuni casi è possibile eseguirla dal pannello di controllo del proprio piano di hosting.

Quando il certificato digitale è correttamente configurato sul server che ospita il sito Joomla ed associato al relativo dominio è necessario accedere in configurazione globale di Joomla, TAB "Server" ed attivare "Forza HTTPS" su "Tutto il sito".

Poi fare un giro per il sito a vedere se tutto funziona correttamente. Fare attenzione che le pagine del sito non facciano chiamate (in ingresso, in apertura) ad elementi in http, tutto deve ora essere richiamato in https, sia JS o immagini o CSS ecc...   altrimenti la pagina genera errore di certificato.

Gli indirizzi URL delle pagine del sito cambieranno così in automatico, per esempio da http://www.nomesito.it/notizie.html  a https://www.nomesito.it/notizie.html
I visitatori che provengono sul sito da link che contengono ancora il precedente URL senza https (per esempio dai motori di ricerca o link su altri siti o link interni ecc..) saranno automaticamente redirezionati al nuovo link, ed i motori di ricerca in breve tempo sostituiranno negli indici le vecchie URL del vostro sito con le nuove in https.

E' consigliato inoltre verificare se nel file configuration.php (cartella principale di Joomla) la definizione var $live_site è impostata e nel caso correggerla con il link in https:
var $live_site = 'https://www.tuosito.xx';

Su alcuni server i permessi di scrittura del file configuration.php potrebbero essere impostati come "non scrivibile" e non permettere di sovrascrivere questo file via FTP. In questo caso è possibile sempre con il client FTP ripristinare i permessi del file da sovrascrivere o rinominarlo sul server (così da avere un backup) e caricare quello modificato.


Altro accorgimento facoltativo potrebbe essere quello di modificare anche il file .htaccess (se il sito è su server Apache) inserendo anche questa regola appena sotto a RewriteEngine On

RewriteCond %{HTTPS} OFF
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ricordiamoci di cancellare completamente la cache di Joomla e quella del browser dopo aver effettuato queste modifiche.

Non è necessario poi abilitare il parametro "Cripta Modulo Login" nel modulo di login o il parametro "Sicurezza (protocollo https)" nelle singole voci di menu. Essendo attivato il protocollo HTTPS in Configurazione Globale queste opzioni vengono superate.


E' consigliato anche in Google Search Console aggiungere la nuova "proprietà" con il link del sito in HTTPS (la precedente proprietà in http può rimanere in elenco).

Per testare il corretto funzionamento delle pagine del proprio sito in HTTPS si consiglia l'utilizzo del browser Chrome, navigare fra le pagine del sito e verificare che la barra degli indirizzi riporti il "lucchettino" chiuso verde e l'indicazione https verde. Alcuni certificati particolari riportano inoltre nella barra degli indirizzi anche il nome dell'azienda titolare del sito. Verificare attentamente che non appaia sulla destra della barra degli indirizzi il simbolo dello scudo con la x rossa. Questo indica che la pagina viene generata con il proprio certificato digitale ma che inoltre contiene nel codice richiami ad "oggetti" presenti su sorgenti non in https.
Come già specificato una pagina in HTTPS non può contenere risorse provenienti da pagine che non sono in https ma ancora in http, quindi su Chrome premere il tasto F12 accedendo così alla "console" che indica il contenuto in questione caricato ancora in http.
Possono essere immagini o css o js o font ecc.., sia interni che esterni come i vari widgets che spesso inglobiamo sui nostri siti. Eventualmente quindi correggiamo queste fonti verificando che siano disponibili anche in https oppure eliminiamoli dalla pagina.





Ovviamente la pagina può contenere link che portano a pagine ancora in http, i link a pagine esterne possono rimanere in http, queste non vengono aperte al caricamento della pagina da parte del browser, solo tutto ciò che viene aperto per completare il caricamento della pagina deve provenire da pagine con protocollo https.

Consiglio di testare il proprio sito con questo strumento che valuta l'implementazione del certificato: www.ssllabs.com oppure www.sslshopper.com


Da gennaio 2017 con la versione 56 Chrome segnala come "Non sicuro" il sito la cui pagina contiene il campo password, compresa quindi anche la pagina di login amministrativo di Joomla o le pagine del sito che contengono il modulo login: Chrome segnala alcune pagine dei siti Joomla come non sicure

CommentaCommenta questa FAQ sul forum